Шесть уязвимостей безопасности, связанных с техниками перехвата кода, могут эксплуатироваться вредоносными программами для обхода механизмов защиты и компрометации целевых устройств.
Техника hooking (перехват) позволяет приложению подключиться к процессу другого приложения. Многие программы для компьютера используют данную технику, в том числе и антивирусные программы, которые выполняют мониторинг других приложений на предмет вредоносной активности.
Компания enSilo, специализирующаяся на кибер-безопасности, обнаружила проблему в большом количестве приложений, которые используют данную технику. Обнаруженная брешь в безопасности позволяет киберпреступникам эксплуатировать уязвимость и получать контроль над системой.
Уязвимости, обнаруженные в 2015
Специализированное исследование enSilo последовало после ранее обнаруженных в AVG, McAfee и Kaspersky проблем обработки пространства памяти компьютера.
В прошлом году команда enSilo обнаружила проблемы в том, как антивирусы взаимодействуют с другими приложениями и системными API для мониторинга и сканирования вредоносной активности.
Позже было обнаружено, что другие типы приложений, осуществляющие виртуализацию и мониторинг производительности, склонны к такой же уязвимости, которая может эксплуатироваться вредоносными программы для обхода антивирусного ПО и системных методов защиты от угроз.
Сотни приложений подвержены уязвимости, миллионы пользователей в опасности
Согласно докладу enSilo, уязвимости были обнаружены в продуктах AVG, Kaspersky, McAfee, Symantec, Bitdefender, Citrix XenDesktop, Webroot, Emsisoft, Vera, и Avast. Все вендоры были предварительно оповещены об обнаруженной проблеме, и началась работа по подготовке патчей.
Кроме того, любое приложение, которое использует технологию перехвата API-вызовов Microsoft Detours также подвержены уязвимости. Это означает, что проблема наблюдается не только в более 100 продуктах от независимых разработчиков ПО, но и в собственных решениях Microsoft, в частности в пакете программ Microsoft Office.
Исправление уязвимости потребует перекомпиляции всех затронутых продуктов и распространение новых версий, что объясняет, почему enSilo так долго умалчивала факт обнаружения уязвимости для широкой аудитории.
Microsoft сообщила, что обновит свои приложения и движок Detours в августе в рамках Вторника Патчей.
В то же время, исследователи намерены представить свои вывода на конференции по безопасности Black Hat, которая пройдет в Лас-Вегасе в начале августа.
Угрозы безопасности
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания
• Apple устранила две уязвимости нулевого дня, которые использовались в атаках на iPhone
• В Chrome 136 будет устранена многолетняя проблема конфиденциальности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS